kvirtu 315 Опубликовано: 2012-06-08 13:42:07 Share Опубликовано: 2012-06-08 13:42:07 Подскажите есть ли смысл конфигурировать на свичах доступа клиентские порты так, чтобы они были изолированы друг от друга, но с доступом на один аплинк порт ? Нагрузка при этом ложится на аплинк-порт или коммутационную матрицу ? Ссылка на сообщение Поделиться на других сайтах
max_m 92 Опубліковано: 2012-06-08 14:57:02 Share Опубліковано: 2012-06-08 14:57:02 1.Смысл конечно есть изолировать абонов друг от друга, дабы потом не было проблем у ТП да и у Вас гемору кто что флудит в сеть. 2. Нагрузка ляжет на аплинк. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 707 Опубліковано: 2012-06-08 15:03:44 Share Опубліковано: 2012-06-08 15:03:44 Скорее нагрузка никуда не ляжет, клиенты просто не будут друг друга видеть. И это(в случае наличия локалки) печально, придут к вам Вася и Петя и скажут - почему мы соседний дом видим, а друг друга в доме нет? Ссылка на сообщение Поделиться на других сайтах
max_m 92 Опубліковано: 2012-06-08 15:12:02 Share Опубліковано: 2012-06-08 15:12:02 Ну скажем так все еще зависит от способа авторизации при ПППоЕ или ВПН должны увидеть при ДХЦП или статике нет. Зато меньше в сети флуда и вирусни. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2012-06-08 15:16:37 Автор Share Опубліковано: 2012-06-08 15:16:37 Блин, замкнутый круг ..... Но думаю лучше будет если петя не будет видеть васю в доме, чем при флуде ничего в сегменте сети работать не будет ??? В сетке торент. Ссылка на сообщение Поделиться на других сайтах
martin 170 Опубліковано: 2012-06-08 15:21:06 Share Опубліковано: 2012-06-08 15:21:06 ну аннамберед еще ни кто не отменял.. Ссылка на сообщение Поделиться на других сайтах
max_m 92 Опубліковано: 2012-06-08 15:22:04 Share Опубліковано: 2012-06-08 15:22:04 Ну вот Вы сами ответили на свой вопрос Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2012-06-08 16:01:11 Share Опубліковано: 2012-06-08 16:01:11 чем при флуде ничего в сегменте сети работать не будет ??? При флуде - засрется аплинк к примеру. Если сотка. И тоже ничего работать не будет. ИМХО - плюсы перекроют минусы только в том случае, если делать некое подобие ip unnumbered (proxyarp крутить к примеру, хотя не уверен как оно будет, или выдавать ип с /32 маской и маршрутом на гейт через 0.0.0.0, т.е. через ифейс - 95% роутеров схавают, кроме роутеров на реалтеках, там реалтековцы ядро сильно покорежили своими хаками, винда - даже не заметит что гейт не в той же подсети что и интерфейс если маршрута на гейт не будет). Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2012-06-08 18:40:49 Автор Share Опубліковано: 2012-06-08 18:40:49 Ребят, так какое решение будет оптимальным ? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 707 Опубліковано: 2012-06-08 19:32:28 Share Опубліковано: 2012-06-08 19:32:28 Если вам обмен между пользователями не особо важен - смело режьте, польза будет. Если нужна полноценная сеть - думайте о другой технологии. 'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно. Ссылка на сообщение Поделиться на других сайтах
max_m 92 Опубліковано: 2012-06-08 20:45:13 Share Опубліковано: 2012-06-08 20:45:13 Если вам обмен между пользователями не особо важен - смело режьте, польза будет. Если нужна полноценная сеть - думайте о другой технологии. 'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно. +1 Ссылка на сообщение Поделиться на других сайтах
martin 170 Опубліковано: 2012-06-09 05:47:48 Share Опубліковано: 2012-06-09 05:47:48 я даже не знаю как надо постараться чтобы засрался аплинк.. разве что аплинк 100 мегабит )) или по цепочке включено домов 200 Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2012-06-09 09:09:40 Автор Share Опубліковано: 2012-06-09 09:09:40 В 3526 с настройками Port-Based VLAN вроде разобрался). В 3010G такой функции нет, но там есть Traffic Segmentation - как я понял там также надо указать пары портов, к примеру port 1 - port map 9, port 2 - port map 9 ? Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2012-06-09 09:38:31 Share Опубліковано: 2012-06-09 09:38:31 'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно. Если на один порт подать 100 мбит мусора, он пойдет на аплинк. Если аплинк сотка - тут он и скукожится... А на нормальных управляемых свичах я к примеру не вижу смысла в port-based vlan. Либо ACL резать лишнее (мультикаст/бродкаст ненужный), либо - valn per user полноценный... Ссылка на сообщение Поделиться на других сайтах
KaYot 3 707 Опубліковано: 2012-06-09 09:52:51 Share Опубліковано: 2012-06-09 09:52:51 А где взять 100м мусора? В любом, самом страшном умном свиче есть storm control, и оно работает. Никаких засираний быть не может. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2012-06-09 09:54:54 Автор Share Опубліковано: 2012-06-09 09:54:54 'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно. Если на один порт подать 100 мбит мусора, он пойдет на аплинк. Если аплинк сотка - тут он и скукожится... А на нормальных управляемых свичах я к примеру не вижу смысла в port-based vlan. Либо ACL резать лишнее (мультикаст/бродкаст ненужный), либо - valn per user полноценный... До valn per user полноценный - я еще "не дорос", для 3010g нужно включить контроль Broadcast , Multicast, Unicast storm и какой порог срабатывания выставить ? там по умолчанию 64Ксек ? Ссылка на сообщение Поделиться на других сайтах
nightfly 1 239 Опубліковано: 2012-06-09 10:37:20 Share Опубліковано: 2012-06-09 10:37:20 Никакой - бродкаст стормконтрол, это просто мера чтобы позволить сети чуть дышать при начавшемся сторме и дать возможность найти первоисточник проблемы. В нормальной сети стормить не должно в принципе. Таки да - portbased самый простой и бюджетный способ сделать vlan per user, причем делать это можно плавно не нарушая нормального функционирования сети и не заигрываясь с куинку и агрегацией. Ссылка на сообщение Поделиться на других сайтах
Gang 5 Опубліковано: 2012-06-09 15:07:45 Share Опубліковано: 2012-06-09 15:07:45 Не происходит ли путаницы в названиях ? Port based VLAN - обычный 802.1Q. То о чем идет речь - расширение стандарта 802.1Q - возможность использовать одного и того же порта в нескольких native(untagged) vlan-ах. У D-LINK'a это называется асимметричные VLAN На длинках предпочтительней использовать трафик сегментейшин. А насчет того, чтобы видели друг друга - на агрегации вланов следует использовать local proxy arp Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2012-06-09 15:11:57 Автор Share Опубліковано: 2012-06-09 15:11:57 В моем случае при использовании 3010g отлючить сторм-контроль , и настроить Traffic Segmentation ??? Ссылка на сообщение Поделиться на других сайтах
Gang 5 Опубліковано: 2012-06-09 15:14:23 Share Опубліковано: 2012-06-09 15:14:23 В моем случае при использовании 3010g отлючить сторм-контроль , и настроить Traffic Segmentation ??? Не понимаю как шторм-контрол коррелирует с Traffic Segmentation. У вас аплинк например в 1-м порту. Нужно изолировать абонентов, но разрешить ходить в аплинк. conf traffic_segmentation 1-24 forward_list 1 conf traffic_segmentation 1 forward_list 1-24 Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2012-06-09 15:25:19 Автор Share Опубліковано: 2012-06-09 15:25:19 с Traffic Segmentation я понял, нужно ли тогда включить шторм-контроль на аплик-порту ? Ссылка на сообщение Поделиться на других сайтах
martin 170 Опубліковано: 2012-06-09 20:14:09 Share Опубліковано: 2012-06-09 20:14:09 ну не путай ты изоляцию и шторм контроль.. одно другому не мешает и это совсем разные вещи.. если у тебя есть штормы по статистике - включи , нету - не включай.. Кстати, прокси арп не спасет при трафик сегментейшн в пределах одного влана )) Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2012-06-10 11:16:41 Автор Share Опубліковано: 2012-06-10 11:16:41 ну не путай ты изоляцию и шторм контроль.. одно другому не мешает и это совсем разные вещи.. если у тебя есть штормы по статистике - включи , нету - не включай.. понял, так а какой порог выставить для шторм контроль ? по умолчанию стоит 64К ??? Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2012-06-10 11:51:48 Share Опубліковано: 2012-06-10 11:51:48 А где взять 100м мусора? Да легко - включить мыльницу с флудящим портом к примеру. Более сложный вариант - намеренная генерация мусорного траффика... В любом, самом страшном умном свиче есть storm control, и оно работает. Никаких засираний быть не может. Дык накой тогда вводить ограничения, если и так все работает? Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2012-06-10 14:40:27 Share Опубліковано: 2012-06-10 14:40:27 traffic segmentation, vlan на дом, dhcp-snooping где-то в ядре. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас